Informativa Whistleblowing

INFORMATIVA SUL TRATTAMENTO DI DATI PERSONALI NELL’AMBITO DELLA PROCEDURA SEGNALAZIONI – WHISTLEBLOWING
SEGNALANTE

Le informazioni sono fornite nell’ambito della procedura di segnalazione e verranno acquisite mediante gli strumenti informatici e/o tramite le ulteriori modalità indicate nella specifica documentazione.

Dati di contatto del Titolare e del DPO
Titolare del trattamento è CERACARTA, nella persona del Legale rappresentante, con sede in Via Secondo Casadei 14, FORLI’, e-mail info@ceracarta.it

Finalità e base giuridica
I dati personali sono raccolti e trattati per le finalità strettamente connesse e strumentali alla verifica della fondatezza delle segnalazioni ricevute e per la gestione delle stesse, relativamente ad attività e/o comportamenti difformi dalle procedure implementate da ADO, per tali intendendosi la violazione di norme di condotta professionale e/o principi di etica richiamati dalla normativa vigente – interna ed esterna – e/o comportamenti illeciti o fraudolenti riferibili a dipendenti, membri degli organi sociali, o a terzi (pazienti, volontari, fornitori, consulenti, collaboratori), che possano determinare – in modo diretto o indiretto – un danno economico, patrimoniale e/o di immagine.
Pertanto, la base giuridica del trattamento risulta essere la necessità di adempiere a un obbligo di legge cui è soggetto il Titolare, con riferimento alle previsioni contenute nella Legge 30 novembre 2017, n. 179 (“Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”) e nel Decreto Legislativo 8 giugno 2001, n. 231 (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300”).

Riservatezza e tutela del segnalante
Si informa che il Titolare fa inoltre propria l’applicazione dell’art. 6 del D.lgs. 231/2001 come modificato dall’art. 2 della L. n. 179/2017, rubricato “Tutela del dipendente o collaboratore che segnala illeciti nel settore privato”, che prescrive la tutela della riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione e vieta atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione.
Pertanto, a eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione ai sensi delle disposizioni del codice penale o dell’art. 2043 del codice civile e delle ipotesi in cui l’anonimato non è opponibile per legge, (es. indagini penali, tributarie o amministrative, ispezioni di organi di controllo) l’identità del segnalante verrà protetta sin dalla ricezione della segnalazione e in ogni fase successiva, in ossequio alle vigenti disposizioni della Disciplina Privacy.
Pertanto, l’identità del segnalante può essere rivelata all’autorità disciplinare e al segnalato solo nei casi in cui a) vi sia il consenso espresso del segnalante; b) la contestazione dell’addebito disciplinare risulti fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità del segnalante risulti assolutamente indispensabile alla difesa del segnalato.
Tutti coloro che riceveranno e/o saranno coinvolti nella gestione delle segnalazioni sono tenuti a tutelare la riservatezza di tale informazione.
La violazione dell’obbligo di riservatezza è fonte di responsabilità disciplinare, fatte salve ulteriori forme di responsabilità previste dall’ordinamento.

Modalità del trattamento, tempi di conservazione e soggetti destinatari
Il Titolare si impegna a trattare, in modo lecito, corretto e trasparente, solo e per il tempo strettamente necessario quei dati necessari al raggiungimento delle finalità indispensabili per lo svolgimento delle attività oggetto della segnalazione. Il trattamento è effettuato dal Titolare anche con l’ausilio di mezzi elettronici, ivi inclusi strumenti automatizzati.
Il trattamento verrà escluso e/o limitato nei casi in cui le finalità perseguite possano essere realizzate mediante anonimizzazione o attraverso modalità che permettano l’identificazione dell’interessato solo in caso di necessità.
La conservazione dei dati personali verrà garantita in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità previste. Si rappresenta che i dati personali possono essere conservati per periodi più lunghi, ai sensi dell’art. 89 del GDPR, ma che verranno conservati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione a carico del Titolare di misure tecniche e organizzative adeguate a tutela dei diritti e delle libertà dei soggetti coinvolti nell’ambito della procedura di segnalazione.
I dati personali saranno trattati, ai sensi dell’art. 29 del GDPR, da persone autorizzate al trattamento ai quali sono state espressamente conferite dal Titolare adeguate istruzioni in ordine alla necessità di garantire la protezione dei dati personali dei soggetti coinvolti nelle segnalazioni.
I dati personali potranno, inoltre, essere trattati per l’attivazione della tutela giudiziaria e/o disciplinare connessa alla segnalazione, ovvero comunicati alle Autorità competenti in presenza di violazioni delle normative applicabili.

Diritti dell’interessato
Ai sensi degli artt. da 15 e seguenti del GDPR, ferme eventuali limitazioni derivanti da disposizioni cogenti della L. n. 179/2017, Le sono riconosciuti alcuni diritti significativi nei confronti del Titolare, ossia:

• Diritto di accesso – il diritto di ottenere senza ingiustificato ritardo informazioni inerenti a: (i) le finalità del trattamento; (ii) le categorie dei dati personali trattati; (iii) i destinatari o le categorie degli stessi ai quali i dati possono essere comunicati, in particolare se collocati in paesi extra-UE, ed i mezzi per esercitare i suoi diritti verso tali soggetti; (iv) quando possibile il periodo di conservazione o i criteri per determinarlo; (v) l’aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l’integrazione dei dati personali nonché l’origine dei dati raccolti presso terzi.
• diritto di rettifica – diritto di ottenere senza ingiustificato ritardo la rettifica dei dati personali inesatti e, tenuto conto delle finalità del trattamento, di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;
• diritto di portabilità – il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che La riguardano forniti al Titolare, nonché il diritto alla trasmissione di tali dati a un altro titolare del trattamento senza impedimenti da parte del Titolare, fermo restando il diritto di cancellazione (v. sotto) e il fatto che il diritto alla portabilità non deve ledere i diritti e le libertà altrui.
• diritto di cancellazione – diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali ove sussista uno dei motivi elencati nell’articolo 17, par. 1 del GDPR – come nel caso in cui i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati – salvo che il trattamento sia necessario in base alle previsioni di cui al paragrafo 3 del medesimo articolo, tra cui (a) l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui sia soggetto il Titolare, o (b) l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui sia investito il Titolare, o (c) l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
• diritto di limitazione – diritto di ottenere la limitazione del trattamento ove ricorra una delle ipotesi di cui all’articolo 18, par. 1 del GDPR: se il trattamento è limitato, i dati personali verranno trattati – salvo che per la conservazione – soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.

Si sottolinea come l’esercizio dei summenzionati diritti da parte dell’interessato potrà avvenire attraverso l’invio delle relative richieste all’indirizzo email whistleblowing@ceracarta.it
Le richieste verranno indirizzate e analizzate dall’azienda, che processerà l’istanza fornendo senza ingiustificato ritardo un apposito riscontro.
Nel caso in cui l’interessato ritenga che i trattamenti che lo riguardano violino la Disciplina Privacy, avrà diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali ai sensi dell’art. 77 del GDPR, seguendo le istruzioni presenti all’indirizzo https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524.

Ai sensi dell’articolo 2-undecies del Codice Privacy (in attuazione dell’articolo 23 del GDPR), si informa che i summenzionati diritti non possono essere esercitati da parte dei soggetti interessati (con richiesta al Titolare ovvero con reclamo ai sensi dell’articolo 77 del GDPR) qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante.
In particolare, l’esercizio di tali diritti:

• sarà effettuabile conformemente alle disposizioni di legge o di regolamento che regolano il settore (tra cui il D.lgs. 231/2001 come modificato dalla L. n. 179/2017);
• potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare la riservatezza dell’identità del segnalante;
• in tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160 del Codice Privacy, nel qual caso il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.

Segnalato e altri soggetti interessati
Le seguenti informazioni sono rese ai fini di trasparenza nei confronti del segnalato e di qualsivoglia soggetto interessato potenzialmente riferito in una segnalazione (di seguito congiuntamente “segnalato”), anzitutto per metterlo al corrente dei limiti all’esercizio di alcuni diritti previsti dal Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR):

• Diritto di informazione – il diritto di essere informato sul trattamento dei propri dati personali ai sensi degli articoli 12 e 14 del GDPR riceve una limitazione alla luce degli obblighi di segretezza e di riservatezza imposti dal D.lgs. 231/2001, come modificato dalla L. n. 179/2017, nonché del rischio di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità del trattamento connesse alle segnalazioni nell’ambito del sistema di whistleblowing (v. art. 14, par. 5, lettere b) e d) del GDPR).
• Altri diritti dell’interessato – i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati (con richiesta al Titolare ovvero con reclamo ai sensi dell’articolo 77 del GDPR) qualora ne possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante (v. articolo 2-undecies del Codice Privacy e articolo 23 del GDPR).

In particolare, si informa il segnalato che l’esercizio di tali diritti o sarà effettuabile conformemente alle disposizioni di legge o di regolamento che regolano il settore (tra cui il D.lgs. 231/2001 come modificato dalla L. n. 179/2017);
o potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare la riservatezza dell’identità del segnalante;
o in tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160 del Codice Privacy, nel qual caso il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.

L’esercizio dei diritti da parte del segnalato (incluso il diritto di accesso) potrà essere esperito, pertanto, nei limiti in cui la legge applicabile lo consente e, in particolare, si rileva che la richiesta verrà analizzata dagli organismi preposti al fine di contemperare l’esigenza di tutela dei diritti degli individui con la necessità di contrasto e prevenzione delle violazioni delle regole di buona gestione societaria ovvero delle normative applicabili in materia.

Categorie di dati personali e fonte di raccolta
I dati personali relativi al segnalato sono raccolti mediante la segnalazione e relativa documentazione fornita dal segnalante. I dati personali relativi al segnalato saranno ricompresi nelle seguenti categorie:

• dati anagrafici (e.g. nome, cognome, luogo e data di nascita);
• dati di contatto (e.g. indirizzo e-mail, numero di telefono, recapito postale);
• dati di natura professionale (e.g. livello gerarchico, area aziendale di appartenenza, ruolo aziendale, tipo di rapporto intrattenuto ADO o altri soggetti terzi, professione);
• ogni altra informazione riferita al segnalato che il segnalante decide di condividere con il Titolare per meglio circostanziare la propria segnalazione, in relazione a:
  a. condotte illecite rilevanti ai sensi del D.lgs. 231/2001 o violazioni del modello di organizzazione e gestione dell’ente;
  b. irregolarità e/o comportamenti illeciti, commissivi o omissivi, che costituiscano o possano costituire violazione dei principi sanciti nel Codice Etico, di policy e regole aziendali e/o che possano tradursi in frodi o in un danno, anche potenziale, nei confronti di colleghi, azionisti e stakeholder in generale o che costituiscano atti di natura illecita o lesiva degli interessi e della reputazione stessa dell’azienda;
  c. attività e pagamenti impropri o sospetti, diversi dalle spese o contribuzioni effettuate in conformità alle Linee Guida Anticorruzione, ovvero le richieste, dirette o indirette, formulate da pubblici ufficiali, enti privati o altri soggetti, aventi ad oggetto liberalità, nonché ogni sospetta violazione delle Linee Guida Anticorruzione e relativi documenti correlati.
  Rinvio
  Fermo quanto evidenziato nei paragrafi precedenti, si rinvia ai corrispondenti paragrafi della sezione “Segnalante” per ulteriori informazioni relative al trattamento dei dati personali concernenti:
• identità e i dati di contatto del Titolare e del suo rappresentante;
• dati di contatto del DPO;
• finalità del trattamento cui sono destinati i dati personali;
• base giuridica del trattamento;
• categorie di destinatari dei dati personali;
• periodo di conservazione dei dati personali;
• informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Un’informativa specifica, in conformità all’articolo 14 del GPDR, sarà fornita al segnalato compatibilmente con le previsioni di legge applicabili, in tal senso rimettendosi a quanto evidenziato nei paragrafi precedenti.